จากรายงานทั่วไปของผู้ตรวจการกรมกิจการทหารผ่านศึกอีกฉบับหนึ่งซึ่งแสดงให้เห็นว่าการปฏิบัติด้านความปลอดภัยทางไซเบอร์ของแผนกล้มเหลว ผู้ร่างกฎหมายของ House Veterans Affairs Committee กำลังต้องการคำตอบเพิ่มเติมเกี่ยวกับความปลอดภัยของข้อมูลของทหารผ่านศึกนับล้านที่อยู่ในเครือข่ายของหน่วยงานเจ้าหน้าที่ของคณะกรรมการกล่าวว่าฝ่ายนิติบัญญัติกำลังดำเนินการวิเคราะห์รายงานของ IG ซึ่งเป็นฉบับแก้ไขซึ่งโพสต์ออนไลน์เมื่อวันที่ 15 เมษายนและกำลังขอรายละเอียดเพิ่มเติมภายในวันที่ 29 เมษายน
IG พบว่า VA อนุญาตให้ผู้รับเหมา 14 รายเข้าถึงเครือข่าย
และข้อมูลจากภายนอกสหรัฐอเมริกาในประเทศต่างๆ ตั้งแต่จีน อินเดีย คอสตาริกา ระหว่างเดือนตุลาคม 2554 ถึงกุมภาพันธ์ 2557 ผู้รับเหมาทั้งสองได้รับอนุญาตให้ทำงานทางไกลหรือเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตอย่างเหมาะสมในระหว่างนั้น วันหยุดพักผ่อนหรือการเดินทางเพื่อธุรกิจ
IG สรุปว่า VA ได้รับความเดือดร้อนจากการขาดนโยบายห้ามการเข้าถึงเครือข่ายหน่วยงานจากนอกสหรัฐอเมริกา การที่พนักงาน OIT บางคนไม่สามารถบังคับใช้คำสั่งหยุดและยกเลิกจาก Stephen Warren ซึ่งเป็น CIO ของ VA และจากการตอบสนองอย่างท่วมท้นจากสำนักงานของ CIO เพื่อให้แน่ใจว่าเครือข่ายและข้อมูลปลอดภัยเมื่อพบว่ามีปัญหาที่อาจเกิดขึ้น
ข้อมูลเชิงลึกโดย LaunchDarkly: เรียนรู้ว่า Coast Guard, NSF และ USAID ไม่เพียงแต่ปรับปรุงสภาพแวดล้อมขององค์กรเท่านั้น แต่ยังดำเนินการดังกล่าวด้วยวิธีที่สนับสนุนพนักงานของตนในการให้บริการได้ดีที่สุด ในขณะเดียวกันก็รักษาข้อมูลของรัฐบาลกลางให้ปลอดภัยด้วย
“เราพบว่าเจ็ดปีหลังจากการละเมิดข้อมูลในปี 2549 พนักงานรักษาความปลอดภัยข้อมูลของ VA ยังคงแสดงท่าทีเฉยเมย ไม่ค่อยใส่ใจ หรือแสดงความรับผิดชอบต่อเหตุการณ์ภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น” VA IG เขียนไว้ในรายงาน “พนักงาน OIT ของศูนย์เทคโนโลยีสารสนเทศออสติน (AITC) ไม่ปฏิบัติตามนโยบายความปลอดภัยของข้อมูล VA และ
ข้อกำหนดด้านความปลอดภัยของสัญญาเมื่อพวกเขาอนุมัติให้พนักงานผู้รับ
เหมาของ VA ทำงานจากระยะไกลและเข้าถึงเครือข่ายของ VA จากจีนและอินเดีย คนหนึ่งเข้าถึงได้จากจีนโดยใช้อุปกรณ์ส่วนตัว (POE) ที่เขานำเข้าและทิ้งไว้ในจีน และอีกคนหนึ่งเข้าถึงได้จากอินเดียโดยใช้ POE ที่เขานำติดตัวไปที่อินเดียแล้วนำกลับมาที่สหรัฐอเมริกา หลังจากที่รักษาการ CIO ได้ทราบเกี่ยวกับการเข้าถึงระยะไกลที่ไม่เหมาะสมนี้ เขาก็ได้ออกคำสั่งด้วยวาจาให้ยุติ อย่างไรก็ตาม พนักงานรักษาความปลอดภัยข้อมูลของ VA ในทุกระดับไม่ตอบสนองอย่างรวดเร็วเพื่อหยุดการปฏิบัติและเพื่อตรวจสอบว่ามีการประนีประนอมกับข้อมูลของ VA ใด ๆ อันเป็นผลมาจากการเข้าถึงเครือข่ายของ VA ในระดับสากล”
คณะกรรมการได้ส่งคำถามหกข้อเกี่ยวกับ Office of IT ของ VA:มีนโยบายอยู่หรือไม่และมีการนำไปใช้โดยปฏิเสธการเชื่อมต่อจากต่างประเทศโดยค่าเริ่มต้นและอนุญาตเฉพาะการเชื่อมต่อที่สามารถตรวจสอบได้ว่าเป็นของจริงหรือไม่ ถ้าไม่มี จะพัฒนาและนำไปใช้เมื่อใด
Network Security Operations Center (NSOC) ที่ VA ให้การตรวจสอบตามเวลาจริงสำหรับการเชื่อมต่อต่างประเทศไปยังทรัพยากรภายในของ VA หรือไม่ หากไม่ใช่ ใครเป็นผู้ดำเนินการ และ/หรือ สมช. จะให้บริการนี้เมื่อใด
NSOC เปรียบเทียบการเชื่อมต่อต่างประเทศกับเครือข่ายกับผู้ใช้หรือไม่? ถ้าไม่พวกเขาจะเมื่อไหร่?
VA OIT ดำเนินการตรวจสอบทางนิติเวชของอุปกรณ์ทุกชิ้นเมื่อผู้ใช้เดินทางกลับจากต่างประเทศหรือไม่? ซึ่งรวมถึงโทรศัพท์, iPad (หรืออุปกรณ์ที่คล้ายกัน) และคอมพิวเตอร์?
ถ้าไม่ นโยบายดังกล่าวจะถูกนำมาใช้เมื่อใด?
VA OIT มีนโยบายให้พนักงานที่เดินทางออกนอกประเทศด้วยคอมพิวเตอร์ “ยืม” ที่สะอาด (ปราศจากข้อมูล VA) หรือไม่ ดังนั้นแล็ปท็อปที่ทำงานตามปกติของพนักงาน (ที่เต็มไปด้วยข้อมูล VA) จะไม่ถูกบุกรุกหรือไม่ สิ่งนี้จะเหมาะสมที่สุดสำหรับพนักงานที่เพียงแค่ตรวจสอบอีเมลหรือนำเสนองาน ถ้าไม่ นโยบายดังกล่าวจะถูกนำมาใช้เมื่อใด (หรือเหตุใดจึงไม่นำมาใช้)
ขั้นตอนของ VA OIT สำหรับการตรวจสอบว่าใครเป็นผู้เข้าสู่ระบบทรัพยากร VA ที่ระบุจากต่างประเทศจริง ๆ คืออะไร
คำถามเหล่านี้เป็นไปตามคำถามหลายสิบฉบับที่ส่งโดยคณะกรรมการในช่วง 18 เดือนที่ผ่านมาเพื่อขอการรับรองเพิ่มเติมว่า VA กำลังปกป้องข้อมูลของทหารผ่านศึก
FedScoop รายงานรายละเอียดของรายงาน IG เป็นครั้งแรก ..
